特定于验证的术语

要了解验证过程，您需要理解本节中的术语。程序员和系统管理员应熟悉这些术语。

client（客户机）是在用户工作站上运行的软件。在客户机上运行的 Kerberos 软件会在此过程中发出许多请求。因此，区分此软件的操作和用户非常重要。

术语 server（服务器）和 service（服务）通常可互换使用。具体而言，术语服务器用于定义运行 Kerberos 软件的物理系统。术语服务对应于服务器支持的特定功能（例如 ftp 或 nfs）。文档通常会将服务器描述为服务的一部分，但此定义会混淆了这些术语的含义。因此，术语服务器是指物理系统，而术语服务则是指软件。

Kerberos 产品使用两种类型的密钥。 一种密钥类型是口令派生密钥。 口令派生密钥会被指定给每个用户主体，并仅对该用户和 KDC 公开。 Kerberos 产品使用的另一种密钥类型是与口令无关联的随机密钥，因此不适合用户主体使用。 随机密钥通常用于在密钥表中具有相应项并具有 KDC 生成的会话密钥的服务主体。 服务主体可以使用随机密钥，因为服务可以访问密钥表中允许其以非交互方式运行的密钥。 会话密钥由 KDC 生成，并在客户机和服务之间共享，可用于在两者之间提供安全事务。

ticket（票证）是一种信息包，用于将用户身份安全地传递到服务器或服务。一个票证仅对一台客户机以及某台特定服务器上的一项特殊服务有效。票证包含以下内容：

• 服务的主体名称

• 用户的主体名称

• 用户主机的 IP 地址

• 时间标记

• 定义票证生命周期的值

• 会话密钥的副本

所有此类数据都使用服务器的服务密钥进行加密。 请注意，KDC 可颁发嵌入在以下介绍的凭证中。 颁发票证之后，可重用票证直到其到期为止。

credential（凭证）是一种信息包，其中包含票证和匹配的会话密钥。凭证使用发出请求的主体的密钥进行加密。通常，KDC 会生成凭证以响应客户机的票证请求。

authenticator（验证者）是服务器用于验证客户机用户主体的信息。 验证者包含用户的主体名称、时间标记和其他数据。 与票证不同，验证者只能使用一次，通常在请求访问服务时使用。 验证者使用客户机和服务器共享的会话密钥进行加密。 通常，客户机会创建验证者，并将其与服务器或服务的票证一同发送，以便向服务器或服务进行验证。